Pegasus to zaawansowane oprogramowanie szpiegujące, stworzone z myślą o urządzeniach działających na systemach iOS i Android, opracowane przez izraelską firmę NSO Group. Po przejęciu kontroli nad urządzeniem Pegasus uzyskuje dostęp do praktycznie wszystkich jego funkcji - od lokalizacji, historii połączeń, zapisanych haseł, przez nagrywanie dźwięku (umożliwiając podsłuchiwanie rozmów), aż po dane przesyłane za pomocą popularnych aplikacji komunikacyjnych, takich jak Messenger czy właśnie WhatsApp.

Czytaj artykuł w LEX: Matusiak-Frącczak Magdalena, Konwencyjne standardy legalnej inwigilacji a zastosowanie systemu Pegasus w Polsce>

Stosowanie systemów szpiegujących, w tym Pegasusa - tylko wyjątkowo>>

Inwigilowani nie tylko terroryści

Zgodnie z deklaracjami NSO Group, system Pegasus został stworzony jako narzędzie do walki z poważnymi przestępstwami i terroryzmem. Firma utrzymuje, że jej technologia miała wspierać działania uprawnionych agencji rządowych w zwalczaniu realnych zagrożeń bezpieczeństwa publicznego. Kluczowa okazała się jednak interpretacja pojęcia "zagrożenie bezpieczeństwa publicznego" dokonywana przez służby poszczególnych państw - w tym także polskie.

W 2021 r. media  opublikowały listę 50 tysięcy numerów telefonów, które mogły być celem inwigilacji przy użyciu Pegasusa. Dziennikarskie dochodzenia ujawniły, że wśród osób potencjalnie objętych nadzorem znajdowali się nie terroryści ani przestępcy, lecz:

• głowy państw i politycy,
• działacze społeczni i opozycjoniści,
• liderzy biznesu,
• członkowie rodzin królewskich w krajach arabskich,
• oraz ponad 180 dziennikarzy z całego świata.

Kanadyjski ośrodek Citizen Lab ujawnił, że Pegasus mógł zostać użyty także przeciwko urzędnikom brytyjskiego rządu, w tym osobom z Downing Street i Foreign Office. Śledzony Pegasusem miał być również prezydent Francji Emmanuel Macron oraz osoby z otoczenia Dżamala Chaszukdżiego, saudyjskiego dziennikarza i krytyka reżimu, który został brutalnie zamordowany w konsulacie Arabii Saudyjskiej w Stambule w 2018 roku. Jeżeli chodzi o lokalne podwórko, w 2018 roku organizacja Citizen Lab zidentyfikowała działalność jednego z operatorów systemu Pegasus w Polsce, działającego pod nazwą kodową ORZELBIALY. Infekcje były rozprzestrzeniane z użyciem sieci takich operatorów jak Polkomtel, Orange Polska, T-Mobile Polska, PROSAT, Vectra i Netia. Citizen Lab potwierdziło użycie oprogramowania wobec co najmniej pięciu osób w Polsce, w tym senatora Krzysztofa Brejzy, adwokata Romana Giertycha, prokurator Ewy Wrzosek, działacza rolniczego Michała Kołodziejczaka oraz dziennikarza Tomasza Szwejgierta. Kwestia zakupu i wykorzystywania Pegasusa w Polsce badana jest do dzisiaj - wątpliwości wyjaśnić ma specjalna sejmowa komisja powołana w tej sprawie.

Czytaj także w LEX: Kudła Jacek, Czynności operacyjno-rozpoznawcze a problem konstytucyjny>

Zbyt szeroka kontrola operacyjna

- Stosowanie Pegasusa jest na gruncie prawa polskiego niedopuszczalne z racji, iż umożliwia niekontrolowany dostęp do sfery intymnej człowieka, przyznając inwigilującemu możliwość niejawnego wpływania na tok życia inwigilowanego, w tym kradzież jego tożsamości - wskazuje prof. dr hab. Mariusz Bidziński, autor opinii prawnej na tej temat, zleconej przez Senat. - Wyrażenie przez sąd zgody na zastosowanie Pegasusa nie może prowadzić do zalegalizowania używania tego narzędzia - wskazuje.
Zdaniem profesora, obowiązujące w Polsce przepisy nie pozwalają żadnemu organowi państwa na przełamywanie zabezpieczeń urządzeń elektronicznych, a tym samym na hacking i przechwytywanie treści komunikacji. Nawet gdyby działania służb miały być objęte kontrolą sądu, Pegasus nie spełnia standardów narzędzia dopuszczalnego prawnie, ponieważ jego użycie wykracza poza ramy przewidziane ustawami o kontroli operacyjnej. Ekspert wskazuje też, że zebrane w ten sposób dane mają znikomą wartość dowodową, bo mogą zostać łatwo zmanipulowane.

Czytaj komentarz praktyczny w LEX: Kudła Jacek, Zakres kontroli operacyjnej>

Izraelska firma złamała regulamin

Kwestii nadużywania Pegasusa kalifornijski sąd jednak w ogóle nie analizował. Właściciele WhatsAppa zarzucili bowiem izraelskiej firmie, że wykorzystała ich komunikator niezgodnie z regulaminem. Co za tym idzie - jak argumentowali powodowie - powinna ponieść odpowiedzialność  kontraktową. WhatsApp dowodził, że poniósł realne koszty, związane m.in. z dochodzeniem, zabezpieczeniem systemów i przeciwdziałaniem skutkom ataku. Argumentował również, że naruszenie umowy przez NSO polegało m.in. na:

•     przeprowadzaniu inżynierii wstecznej (reverse engineering - proces, w którym produkty są dekonstruowane w celu wyodrębnienia z nich informacji projektowych)
•     przesyłaniu przez platformę złośliwego kodu,
•     zbieraniu danych użytkowników bez zgody,
•     nieautoryzowanym dostępie do usług WhatsAppa,
•     wykorzystywaniu platformy w sposób niezgodny z prawem, czyli do celów inwigilacji.

Powodowie podkreślili, że założenie przez NSO kont w komunikatorze, które potem zostały wykorzystane do inwigilacji użytkowników, wymagało akceptacji regulaminu, który tych praktyk wyraźnie zakazywał. Izraelska firma miała ograniczone pole do obrony, bo z powodów raczej oczywistych, nie ujawniła kodu źródłowego Pegasusa. Dodatkowo - choć oprogramowanie wykorzystywane było na całym świecie - amerykański sąd uznał swoją właściwość, bo powodowie wskazali, że użytkownicy WhatsApp'a byli inwigilowaniu przy wykorzystaniu serwerów należących do właścicieli komunikatora i zlokalizowanych w Kalifornii.

Furtka do roszczeń również dla polskich firm?

- Ta sprawa przenosi dyskusję na zupełnie nowy poziom - mówi dr hab. Agnieszka Piskorz-Ryń, prof. UKSW w Warszawie. - Dotychczas debata wokół Pegasusa w Polsce koncentrowała się głównie na pytaniu o legalność jego użycia przez służby – na przykład, czy sądy wyrażały zgodę na działania operacyjne z jego wykorzystaniem. Tymczasem tu punkt ciężkości został przesunięty - na naruszenie prawa cywilnego w tym własności intelektualnej. Sąd uznał, że Pegasus był narzędziem ingerującym w samo oprogramowanie, a więc wykorzystywał infrastrukturę i własność intelektualną podmiotu trzeciego, bez jego wiedzy i zgody - podkreśla.

Czytaj artykuł w LEX: Matusiak-Frącczak Magdalena, Kontrola operacyjna oraz użycie systemu Pegasus w Polsce>

Jej zdaniem sprawa daje szansę również polskim firmom, jeżeli udowodniłyby, że były w analogicznej do WhatsAppa sytuacji. I to nawet, gdy zgodę na kontrolę operacyjną wydał sąd. - Nasuwa się bowiem pytanie, czy - nie znając zasad działania oprogramowania - sąd w ogóle brał pod uwagę, że wykorzystana zostanie własność intelektualna podmiotów trzecich. Patrząc z tej perspektywy, powinniśmy otworzyć w Polsce dyskusję na ten temat i ewentualnie uzupełnić mechanizmy kontroli operacyjnej o ocenę zgodności działań służb również z punktu widzenia prawa cywilnego i autorskiego - mówi prof. Piskorz-Ryń. Podkreśla przy tym, że dyskusja ta będzie potrzebna w przypadku uznania potrzeby korzystania z takiego narzędzia jak Pegasus w ramach kontroli operacyjnej.

Czytaj także w LEX: Opitek Paweł, Kontrola operacyjna urządzenia końcowego>

Dziury w systemie to nie powód do dumy

Równolegle można rozważyć inny, mniej techniczny, ale bardzo realny wymiar odpowiedzialności: straty wizerunkowe i rynkowe. Ujawnienie, że określone narzędzia szpiegowskie (takie jak Pegasus) wykorzystywały luki w popularnych aplikacjach komunikacyjnych lub systemach operacyjnych (np. iOS, Android), ma wpływ na decyzje konsumenckie. Wiele osób – obawiając się podsłuchów czy inwigilacji – rezygnuje z WhatsAppa na rzecz alternatyw uznawanych za bezpieczniejsze, takich jak Signal, Threema czy komunikatory open source.

-  Działania firm takich jak NSO mogą pośrednio wpływać na konkurencyjność całych segmentów rynku, a to już podstawa do wysuwania roszczeń przed sądem - wskazuje prof. Piskorz-Ryń.